柚子快報邀請碼778899分享：云原生 云計算-istio運維

http://yzkb.51969.com/

架構(gòu)

服務(wù)網(wǎng)格在邏輯上，分為控制層面control plane和數(shù)據(jù)層面data plane

控制層面 通過智能代理envoy管理流量路由，服務(wù)運行策略執(zhí)行等數(shù)據(jù)層面 數(shù)據(jù)層面由一組以sidecar方式部署的智能代理envoy組成，這些代理可以調(diào)節(jié)和控制微服務(wù)以及istiod之間的所有網(wǎng)絡(luò)通信

服務(wù)網(wǎng)格主要由以下組件構(gòu)成：

Envoy

Istio 使用 Envoy 代理的擴展版本。Envoy 是使用 C++ 開發(fā)的高性能代理，可為服務(wù)網(wǎng)格中的所有服務(wù)調(diào)解所有入站和出站流量。Envoy 代理是與數(shù)據(jù)平面流量交互的唯一 Istio 組件。

Envoy 代理被部署為服務(wù)的輔助工具，通過 Envoy 的許多內(nèi)置功能在邏輯上增強了服務(wù)，例如：

動態(tài)服務(wù)發(fā)現(xiàn)負載均衡TLS終止HTTP / 2 和 gRPC 代理斷路器健康檢查分階段、按百分比分配流量故障注入豐富的指標

這種 Sidecar 部署使 Istio 可以提取大量有關(guān)流量行為的信號作為屬性。Istio 可以使用這些屬性來執(zhí)行策略決策，并將其發(fā)送到監(jiān)視系統(tǒng)以提供有關(guān)整個網(wǎng)格行為的信息。Sidecar 代理模型還允許用戶將 Istio 功能添加到現(xiàn)有部署中，而無需重新構(gòu)造或重寫代碼。

Envoy 代理啟用的一些 Istio 功能和任務(wù)如下：

流量控制功能：使用豐富的路由規(guī)則對 HTTP、gRPC、WebSocket 和 TCP 流量實施細粒度的流量控制。網(wǎng)絡(luò)彈性功能：設(shè)置重試、故障轉(zhuǎn)移、斷路器和故障注入。安全和身份驗證功能：實施安全策略并實施通過配置 API 定義的訪問控制和速率限制。基于 WebAssembly 的可插入擴展模型，允許自定義策略實施和網(wǎng)狀流量的遙測生成。

istiod

Istiod 提供服務(wù)發(fā)現(xiàn)，配置和證書管理。Istiod 將控制流量行為的高級路由規(guī)則轉(zhuǎn)換為 Envoy 特定的配置，并在運行時將其傳播到 Sidecar。Pilot 提取了特定于平臺的服務(wù)發(fā)現(xiàn)機制，并將它們合成為標準格式，任何符合 Envoy API 的 Sidecar 都可以使用。Istio 可以支持針對多個環(huán)境(例如 Kubernetes，Consul 或 VM)的服務(wù)發(fā)現(xiàn)。用戶可以使用 Istio 的流量管理 API 來指示 Istiod 改進 Envoy 配置，以對服務(wù)網(wǎng)格中的流量進行更精細的控制。Istiod 安全性通過內(nèi)置的身份和憑據(jù)管理實現(xiàn)了強大的服務(wù)到服務(wù)和最終用戶身份驗證。用戶可以使用 Istio 升級服務(wù)網(wǎng)格中的未加密流量。使用 Istio，用戶可以基于服務(wù)身份而不是相對不穩(wěn)定的第 3 層或第 4 層網(wǎng)絡(luò)標識符來實施策略。從版本 0.5 開始，用戶可以使用 Istio 的授權(quán)功能來控制誰可以訪問您的服務(wù)。Istiod 維護一個 CA 并生成證書以允許在數(shù)據(jù)平面中進行安全的 mTLS 通信。

運維

登錄后復(fù)制

#檢索特定 Pod 中 Envoy 實例的集群配置的信息：

Istioctl proxy-config cluster [flags]

#檢索特定 Pod 中 Envoy 實例的 Bootstrap 配置的信息

Istioctl proxy-config bootstrap [flags]

#檢索特定 Pod 中 Envoy 實例的監(jiān)聽器配置的信息：

Istioctl proxy-config listener [flags]

#檢索特定 Pod 中 Envoy 實例的路由配置的信息：

Istioctl proxy-config route [flags]

#檢索特定 Pod 中 Envoy 實例的 Endpoint 配置的信息：

Istioctl proxy-config endpoints [flags]

1.2.3.4.5.6.7.8.9.10.11.12.13.14.

Istio 的 Listener，Route，Cluster 和 Endpoint 與 Envoy 中的概念類似。

Cluster：在 Envoy 中，Cluster 是一個服務(wù)集群，Cluster 中包含一個到多個 Endpoint，每個 Endpoint 都可以提供服務(wù)，Envoy 根據(jù)負載均衡算法將請求發(fā)送到這些 Endpoint 中。Cluster 分為 Inbound 和 Outbound ?兩種，前者對應(yīng) Envoy 所在節(jié)點上的服務(wù)；后者占了絕大多數(shù)，對應(yīng) Envoy 所在節(jié)點的外部服務(wù)?？梢允褂萌缦路绞椒謩e查看 Inbound 和 Outbound 的 Cluster：

登錄后復(fù)制

Istioctl pc cluster productpage-v1-64794f5db4-4h8c8.default--direction inbound -ojson

Istioctl pc cluster productpage-v1-64794f5db4-4h8c8.default --direction outbound -ojson

1.2.

Listeners：Envoy 采用 Listener 來接收并處理 Downstream 發(fā)過來的請求。Routes：配置 Envoy 的路由規(guī)則。Istio 下發(fā)的缺省路由規(guī)則中對每個端口(服務(wù))設(shè)置了一個路由規(guī)則，根據(jù) Host 來對請求進行路由分發(fā)，Routes 的目的為其他服務(wù)的 ClusterEndpoint：Cluster 對應(yīng)的后端服務(wù)，可以通過 Istio Pc Endpoint 查看 Inbound 和 Outbound 對應(yīng)的 Endpoint 信息

調(diào)試Envoy 和 Istiod

istio 提供了兩個非常有價值的命令來幫助診斷流量管理配置相關(guān)的問題，Proxy-status 和 Proxy-config 命令。

Proxy-status 命令容許您獲取網(wǎng)格的概況，并識別出導致問題的代理。

Proxy-config 可以被用于檢查 Envoy 配置和診斷問題。

獲取網(wǎng)格概況

Proxy-status 命令容許您獲取網(wǎng)格的概況。如果您懷疑某一個 Sidecar 沒有接收到配置或配置不同步時，Proxy-status 將告訴您原因。

如果列表中缺少代理，這意味著它目前沒有連接到 Istiod 實例，因此不會接收任何配置。

SYNCED 意思是 Envoy 知曉了 Istiod 已經(jīng)將最新的配置發(fā)送給了它。NOT SENT 意思是 Istiod 沒有發(fā)送任何信息給 Envoy， 這通常是因為 Istiod 沒什么可發(fā)送的。STALE 意思是 Istiod 已經(jīng)發(fā)送了一個更新到 Envoy，但還沒有收到應(yīng)答。這通常意味著 Envoy 和 Istiod 之間存在網(wǎng)絡(luò)問題，或者 Istio 自身的 Bug。

柚子快報邀請碼778899分享：云原生 云計算-istio運維

http://yzkb.51969.com/

精彩內(nèi)容